Par défaut, Kerberos permet une différence de temps de 5min, au delà il considère que les horloges entre client et server ne sont plus synchronisées.
En savoir plus sur le protocol NTP – rfc1305 http://www.ietf.org/rfc/rfc1305.txt
GPO: Computer Settings\Policies\Windows Settings\Security Settings\Kerberos Policy\Maximum tolerance for computer clock synchronisation (par defaut:5min)
Comment les serveurs se mettent à jours dans un domaine Active Directory,
- Le PDC du domaine Racine doit être configuré sur une source de temps extérieure fiable.
- Chaque PDC des domaines enfants vont se synchroniser avec le PDC du domaine parent.
- Chaque Contrôleurs de Domaines se synchronisent avec le PDC de son domaine.
- Chaque serveurs membres se synchronisent avec le Contrôleur de domaine sur lequel il s’authentifie.
Commandes pratiques:
w32tm /config /manualpeerlist: »ntp1.com,ntp2.com » /syncfromflags:manual
w32tm /config /update
w32tm /resync
w32tm /query /status
w32tm /query /configuration
net stop w32tm & net start w32tm
net time /domain /set
Paramètre du service de temps dans la base de registre
hklm\system\currentcontrolset\services\w32time\parameters